Sårbarheter i Internett

Abstract

I de siste °arene har Internett blitt et viktig kommunikasjonssystem for samfunnet, b°ade som et kommunikasjonsmedium og som en plattform for stadig mer avanserte tjenester. Internett har blitt en viktig integrert del av mange virksomheters forretningsmodell, ogs°a de som anses °a være samfunnskritiske. Private brukere har p°a samme m°ate i stor grad gjort seg avhengige av ulike typer internetttjenester. M°alet med dette arbeidet er en s°arbarhetsvurdering av Internett med et anvendelsessyn. Dette innebærer at det ses p°a sikkerhet og s°arbarhet fra tjenesteanvenders st°asted, og ikke fra internettinfrastrukturleverandørenes st°asted. Videre konsekvenser innover i sluttbrukersystemer faller dog utenom. Det er lagt størst vekt p°a °a gjøre en s°arbarhetsvurdering av internettinfrastrukturen som er felles for de fleste tjenester, fremfor °a vurdere trusler som rammer brukerne direkte som for eksempel virus og uønsket e-post. Analysen har hatt fokus p°a villede handlinger og angrep, men ikke-villede handlinger dekkes ogs°a i noen grad. Arbeidet har primært vært en litteraturstudie, supplert gjennom møter med i hovedsak norske aktører innen offentlig forvaltning og næringslivet. S°arbarhetsvurderingen er svært sammensatt, og det fremkommer ingen entydig konklusjon. P°a den ene siden viser v°are funn at Internett er s°arbart for mange allment kjente angrep. Eksempler p°a slike s°arbarheter ligger i viktige funksjoner som ruting (BGP) og navnetjenesten (DNS). P°a den annen side er det til tross for disse og andre mer eller mindre kjente s°arbarheter ikke dokumentert angrep mot Internett som har hatt omfattende konsekvenser i tid og omfang. Samtidig gjennomføres det kontinuerlig tiltak i infrastrukturen for °a h°andtere og redusere s°arbarheter. Mye tyder derfor p°a at Internett virkelig er en robust infrastruktur, selv om dette p°a ingen m°ate er verifisert. Avslutningsvis gis det kort noen tanker og refleksjoner om tiltak og muligheten for regulering av Internett.

In recent years, the Internet has become an important communication system for our society, both as a medium for communication and as a platform for increasingly advanced services. The Internet has become an important integrated part of the business models of many organizations, including those considered to be critical for society. Similarly, private users have made themselves dependent on different kinds of Internet services. It is the intention of this report to give a vulnerability assessment of the Internet from a user point of view. This means that security and vulnerabilitiy are viewed through the lens of service users as opposed to service providers, although further consequences in end user systems are not considered. The primary aim has been to do a vulnerability assessment of the Internet infrastructure that is common for most services, in preference to studying threats that are carried over the infrastructure to affect users directly like viruses, worms and spam. The assessment is focused on deliberate actions against the infrastructure, although unintentional actions are covered to some degree. The primary work has been done through a study of available literature, supplemented with meetings with mainly Norwegian actors in government administration and the private industry. Our vulnerability assessment covers a wide range of complex topics, and no clear-cut conclusion is possible. On one hand, our results show that Internet is vulnerable with regards to many publicly known attacks. Vulnerabilities in important functions like routing (BGP) and name services (DNS) exemplify this. On the other hand, despite these and other less known vulnerabilities, there is a lack of documented attacks against the Internet with extensive consequences in time and scope. At the same time, measures are continuously being implemented in the infrastructure to handle and reduce vulnerabilities. This may imply that the Internet really is a robust infrastructure, although this has in no way been verified. As an informal addendum we give some thoughts and reflections on Internet regulation and the possibility of recommending measures for making the Internet more robust.